Niniejszy artykuł rozpoczyna cykl rozważań na temat bezpieczeństwa informacji. Chcielibyśmy w nim przedstawić kilka bardziej lub mniej standardowych spojrzeń na ochronę tajemnic, danych, informacji. Zaproponujemy jednak inny sposób spojrzenia na działania. Mianowicie postaramy się wskazać działanie znane z medycyny i jako takie dające niewspółmiernie większe efekty niż reakcja. Chodzi oczywiście o profilaktykę. Czasem w bezpieczeństwie zamiennie określaną prewencją, ale chyba niesłusznie. Dlaczego? To na inny cykl, poświęcony taktyce i strategii działania.

Działanie celowe, działanie niecelowe

Wracając do działań w zakresie bezpieczeństwa. Większość opracowań dotyczących bezpieczeństwa wskazuje jako główną przyczynę utraty informacji, czy dokładniej – utraty poufności informacji, działanie człowieka – celowe lub niecelowe. Warto trochę pochylić się nad tym podziałem, bo jest dość istotny, z punktu widzenia organizacji bezpieczeństwa i zarządzania nim.

Celowe działanie nie będzie tylko działaniem bezpośrednio zmierzającym do ujawnienia informacji osobie, podmiotowi nieuprawnionemu. Może to też być działanie polegające na zaniechaniu działania zmierzającego do utrzymania owej poufności. Mimo, że brak tutaj działania jako takiego (zaniechanie działania, niepodjęcie działania) warto o nim pamiętać. Ponieważ w zakresie funkcjonowania systemu bezpieczeństwa informacji jest to działanie nieco bardziej skomplikowane w ocenie.

Otóż, do jego wystąpienia musimy mieć zdefiniowany OBOWIĄZEK. Bo tylko zaniechanie działania, czyli naruszenie obowiązku będzie określone jako działanie celowe. I to jest główny atrybut odróżniający od celowego ujawnienia 

Upraszczając.

• Ujawniając – wiem o tym, że dane, informacje są poufne (w rozumieniu potocznym), a mimo to ujawniam.
• Nie zapobiegając ujawnieniu wiem, że powinienem przeciwdziałać, ale... nie robię tego.

Obie te formy są CELOWYM działaniem człowieka. Druga forma, również może mieć wpływ na atrybut POFNOŚCI informacji. Ujawnienie niecelowe, a więc niezamierzone, a mimo wszystko zaistniałe. Rodzi się pytanie w tym momencie. Który z przypadków będzie bardziej niebezpieczny?

Większość ekspertów bezpieczeństwa informacji uważa, że bardziej niebezpiecznym jest działanie zamierzone, a w tej kategorii – ujawnienie jako działanie. Następnie zaniechanie, a dopiero na końcu ujawnienie niecelowe.

Uważam, że bardziej niebezpiecznym dla organizacji jest ujawnienie niecelowe. Ponieważ istotą tego zdarzenia jest brak świadomości, że określone informacje stanowią wartość w organizacji. Oczywiście nie do pominięcia jest fakt działania osób, które ujawniają celowo informacje, jednak w takim przypadku mamy do czynienia w niektórych przypadkach już z przestępstwem i możemy działać w wielu zakresach zabezpieczeniami z kategorii prawnej. Wykrycie takiego zdarzenia jest trudniejsze. A dodatkowo, „prowadzenie” takiej osoby, przez przeciwników firmy jest dużo prostsze.

A najczęściej błąd w tym przypadku leży po stronie zarządzających firmą.